NGFdMGJcLWVcNaF6NGV7LGxdLTcsynIkynwdxn1c
Siber Güvenlik ilkeleri

Siber Güvenlik ilkeleri

22 Nisan 2021

Siber Güvenlik ilkeleri - Temel Bilgi Güvenliği Kavramları

Konu İçerik Başlıkları
1. Bilgi Güvenliğinde Temel Kavramlar
2. Geçmiş ve Günümüze Kurumsal ve Bireysel Tehditler
3. Siber Güvenlik Çalışmalarının Kapsamı
4. Gizlilik, Bütünlük, Erişilebilirlik
5. Güvenlik, İşlevsellik, Kullanılabilirlik
6. Riskleri Düşünmek
7. Temel Güvenlik İlkeleri
8. Sızma Testi Kavramı 
9. Sızma Testi Aşamaları
10. Ekip
11. Yöntemler ve Yöntem Çerçeveleri
12. Siber Güvenlik ilkeleri Videolu Anlatımlar
Anlatımını yaptığımız konu başlıkları yukarıdaki gibi olacaktır.

Yararlı olması dileğiyle.

1. Bilgi Güvenliğinde Temel Kavramlar

Bilgi güvenliğinde temel amaç bilgi sistemlerini siber güvenlik saldırılarına karşı korumaktır. Siber güvenlik saldırılarını gerçekleştiren bilgisayar korsanlarının kişisel motivasyondan meraka, bireysel çıkarlardan kurumsal çıkar amacıyla bilgi çalmaya kadar farklı motivasyon kaynakları olabilir. 
Bilgisayar ve internet bağımlılığının artıyor olması bilgi güvenliğiyle ilgili problemlerin de önümüzdeki yıllarda daha ön planda olacağını işaret etmektedir. Bu bölümde bilgi güvenliğinde temel kavramlardan söz edilecektir. Özellikle bilgi varlıkları, bilgi varlıklarının korunması; gizlilik, bütünlük ve erişilebilirlik kavramları ele alınacaktır.

2. Geçmiş ve Günümüze Kurumsal ve Bireysel Tehditler

Önceki bölümlerde internet üzerinde iletişimi sağlayan protokollerden söz etmiştik. Bu protokollerin tanımı RFC adı verilen belgelerde yer almaktadır. Örneğin, TCP protokolü (Transmission Control Protocol) 1981 yılında yayınlanan 793 numaralı RFC'de tanıtılmıştır.
İşletim sistemleri doksanlı yıllarda olduğu gibi bugün de bu protokolleri kullanmaktadır. Diğer yandan işletim sistemleri doksanlı yıllarda güvenlik değil işlevsellikleri için tasarlanmıştı. Örneğin kullanıcı parolası kavramı işletim sistemlerinin geliştirilmesinden sonraki yıllarda ortaya çıkmış, kullanıcıların birbirlerinin dosyalarına ağ üzerinden erişmesine yönelik kısıtlamalar sonradan tasarlanan önlemlerle gerçekleştirilmişti.
Bu durum temel olarak güvenlik, işlevsellik ve kullanılabilirlik üçlüsü arasındaki dengeyi ifade eder. İşletim sistemleri ve uygulamalar amaçları doğrultusunda öncelikli işlevsellikleri için tasarlanıp geliştirilirler. İşletim sistemi ve uygulamaların kullanılabilirliği de işlevsellikleri kadar önemlidir. Bu nedenle özellikle kullanılabilirliği yüksek ara yüzler geliştirilmektedir. Diğer yandan güvenlik, işletim sistemi ve uygulamaların geliştirilmesi sırasında ya da geliştirildikten sonra ortaya çıkan güvenlik açıkları ile ilgili olduğundan işlevsellik ve kullanılabilirliğe kıyasla ikincil bir süreç olarak öne çıkmaktadır.
2000li yıllara kadar daha çok bilgisayar virüslerinden ibaret olan bireysel siber güvenlik tehditleri, ağlar üzerinde yayılmaya başlayan solucanların ortaya çıkmasıyla kurumsal siber güvenlik tehditlerine dönüşmüştür. 90lı yılların bilişim dünyasının genel olarak saldırganların bilgi çalmaktan çok eğlenme amacı güttüğü bir dünya olduğunu söyleyebiliriz. Bu dünyada bireysel siber güvenlik tehditlerinin gelişmemiş olduğu, tehditlerin çoğunlukla işletim sistemlerindeki açıklara yönelik olduğu ve kişisel bilgisayarlardan çok sunucuları hedefleyen saldırılar düzenlendiği söylenebilir. Ancak 2000li yılların başından itibaren durum değişmeye başlamıştır. Başlangıçta son kullanıcılara ve küçük ölçekli kurumlara zarar veren yazılımlar, ülkelerin başka ülkelere siber saldırılar düzenlenmesi amacıyla kullanılmaya başlanmıştır. Örneğin 2007 ve 2008 yılında Estonya ve Gürcistan ulusal ölçekte siber saldırılara maruz kalmıştır. 2010 yılında İran'da bir nükleer tesis, siber saldırılarla ele geçirildiği iddia edilen bilgiler kullanılarak kısmen işlevsiz hale getirilmiştir. Bu örnekler bilgisayar sistemlerinin ve siber saldırıların günlük yaşamınıza doğrudan etki yaptığı ilk büyük ölçekli örnekler arasında sayılabilir. 
Takip eden yıllarda ülkeler siber güvenlik konusunda kendi önlemlerini almaya başlamıştır. 2016 yılında NATO siber uzayın bir savaş alanı olabileceğini bildirmiştir. Amerika Birleşik Devletleri, Çin, Avrupa ülkeleri ve dünyanın diğer ülkelerinde kurumsal siber güvenlik yapıları oluşturulmuştur. Bu kurumlarda çalışacak insan kaynağını yetiştirilmesi için girişimler başlatılmıştır.
Günümüzde siber suçlar ulusal güvenliği tehdit edecek boyutlara ulaşmıştır. Barajlardan trafik lambalarına kadar, hava kontrolünden vatandaşlık işlemlerine kadar çok sayıda sistemin bilgisayarlar tarafından kontrolü, siber güvenliğin de önemini artırmıştır. Bu doğrultuda siber güvenlik uzmanlığı, geleceğin gözde mesleklerinden birisi olmaya adaydır.

3. Siber Güvenlik Çalışmalarının Kapsamı

Siber güvenlik çalışmalarını üç temel gruba ayırmak mümkündür. Birinci grupta sistem, yazılım ve ağ güvenliği araştırmaları bulunmaktadır. Bu araştırmaların alt grupları günümüzde aşağıda listelenen konuları kapsamaktadır. Bu başlıklar elbette zaman içinde değişecek, bazı konuları arka planda kalacak, yeni konular eklenecektir. Diğer yandan başlıkların ana hatlarının aynı kalacağı ya da benzer olacağı düşünülebilir.
  • Son kullanıcı sistemleri, mobil sistemler ve bulut güvenliği
  • SCADA / IoT / Linux Tabanlı Gömülü Sistemler Güvenliği
  • WBAN (Wireless Body Area Network) ve Otonom Araçlar V2V (Vehicle to Vehicle) İletişim Güvenliği Çalışmaları
  • Yazılım Tanımlı Ağ Güvenliği 
  • (SDN, Software-Defined Network Security)
  • Zararlı Yazılım Analizi (Malware/Ransomware Analysis)
İkinci başlıkta veri güvenliği araştırmaları düşünülebilir. Bu araştırmaların alt başlıkları aşağıdaki konularla örneklendirilebilir.
  • Quantum Kriptografi
  • Blokzincir ve P2P İletişim Güvenliği Araştırmaları
  • Veri Anlamlandırmaya Yönelik Araştırmalar
  • Yapay Zekâ, Yapay Öğrenme
Siber güvenlik çalışmalarında üçüncü temel grup günümüzde insan odaklı siber güvenlik araştırmalarını içermektedir. Bu çalışmaları siber bilişsel araştırma alanları olarak adlandırabiliriz.
  • Zihin ve Siber Davranış Modellemesine Yönelik Araştırmalar
  • Sosyal Mühendislik Araştırmaları
  • Biyometri Çalışmaları, Beyin Sinyalleri, Gözizi Örüntüleri ve Fizyolojik Sinyallerin Güvenliğine Yönelik Araştırmalar
  • Adli Bilişim, Bilişim Hukuku, Risk Yönetimi ve Siber Güvenlik Politikaları Çalışmaları
  • Bilgi Varlıklarının Korunması
Siber güvenlikte temel amaç bilgi güvenliğine yönelik riskleri azaltmaktır. Burada kastedilen, çoğunlukla bilgi teknolojilerini temin eden cihaz ve yazılımlardaki hatalardan kaynaklı risklerdir. Bu doğrultuda bilgi güvenliği, bilgisayar sisteminin bilgi varlıklarını riskleri azaltarak korumayı amaçlar. Bilgi varlığı ile kastedilen değeri olan bilgilerdir. Aşağıdaki listede bir bilgisayar sistemi için değerli olan bilgi varlıklarının hangileri olabileceğini tahmin ediniz.
  • Elektronik çipler
  • Sunucu havuzları
  • Kurumsal ağ
  • İşletim sistemi
  • Veri tabanı
  • Hizmete özel uygulamalar
Bu soruyu daha genel olarak şu şekilde ele alabiliriz. Bilgi varlıkları temel olarak üç kategoride incelenebilir.
  • Donanım: Bilgisayarlar, ağ cihazları, mobil cihazlar
  • Yazılım: İşletim sistemi ve yazılımlar
  • Veri: Dosya ve veri tabanları
Bilgi varlıklarının değerini ölçmek için de bir ölçüt belirleyelim. Örneğin bilgi varlığını kaybettiğimizde hemen yerine koyabilir miyiz? Mesela yazı yazmak için kullandığınız ofis araçları bozulduğunda bunları yeniden kurarak onarabiliriz. Diğer yandan resimler ve arşivlenmiş e-postalar gibi bilgi varlıklarını kaybettiğimizde yerine koymak daha güç olabilir.
Göreceli olarak donanımlar değersiz bir bilgi varlığı olarak değerlendirilebilir. Değerli bilgi varlıkları ise bu donanımlar üzerindeki verilerdir. Cep telefonunuzu kaybettiğinizde yenileyebilirsiniz ama içindekileri yenilemek güç olabilir. 
Tüm bilgi varlıklarının korunması mümkün olmadığı için de kullanıcılar değerli bir varlıklarını korumak üzere seçim yaparlar. Bu seçimlerde elbette zaman, maliyet gibi faktörlerine çıkar. Örneğin, iki cep telefonu kullanmak yerine cep telefonunuzdaki verileri yedeklemeyi düşünürüz. 
Özetle, bu bölümün en önemli bilgi varlığını veri en önemsiz bilgi varlığınıza donanım olduğunu söyleyerek bitirelim.
Bilgi varlıklarının korunmasında üç bileşen temel rol oynar. Bunlar zafiyet, tehdit ve önlemlerdir
Zafiyet bir sistemdeki zayıflığı ifade eder. Örneğin, veri transferinde şifreleme kullanmamak zafiyet ifade eder. Zafiyet istismar edildiğinde zarar ve kayıplara neden olabilir. Zafiyetin kısıtlı istismarına ise saldırı denir. 

Tehdit terimi ise zafiyeti elediğimizde ortadan kaldırdığımız durumu ifade eder. Örneğin bilgi sistemlerine yetkisiz erişim bir tehdittir. Veri transferinde şifreleme kullanarak bilgi sistemlerine yetkisiz erişim tehdidini ortadan kaldırmış oluruz. Tehditler zarar verme amaçlı bir saldırı olabileceği gibi kötü niyet barındırmayan bir insan hatasından da kaynaklı olabilir. 

Önlemler de adı üzerinde, zafiyet ortadan kaldıran yöntemleri ifade eder. Örneğin işletim sistemi güncellemeleri siber güvenlik sağlamak için sık kullanılan önlemlerden birisidir.

4. Gizlilik, Bütünlük, Erişilebilirlik

Bilgi güvenliğine yönelik tehditler sistemlerin gizlilik, bütünlük ya da erişilebilirliğini tehdit edebilir. Gizlilik, sadece yetkili kişi ve işlemlerin bilgi varlıklarına erişim sağlamasını ifade eder. Diğer bir değişle gizliliğin sağlanması veriye yetkisiz erişimin engellenmesi anlamına gelir. Bütünlük ise sadece yetkili kişi ve işlemlerin bilgi varlıklarının içeriğini değiştirebilmesini ifade eder. Erişilebilirlik, tüm yetkili kişi ve işlemlerin bilgi varlıklarını kullanabilir durumda olmasını ifade eder. Bu bölümde gizlilik, bütünlük ve erişilebilirlik kavramları üzerinde duracağız.
Günümüzde kullanılan işletim sistemlerinin çoğunda hangi kullanıcının hangi bilgiye erişebileceğine sistem yöneticisi ya da bilgi sisteminin kullanım politikalarını belirleyen kişiler karar verir. İşlevsellik açısından tüm kullanıcıların yüksek yetki derecelerine sahip olması ilk bakışta tercih edilebilir gibi görünse de kullanıcıların kullanmayacakları yetkilere sahip olması güvenlik tehditleri oluşturabildiği gibi işlevselliği de engelleyebilir. 

İşletim sistemi ve uygulamalarda gizliliği sağlayan yöntemler aşağıdaki gibi listelenebilir.
  • Encryption (şifreleme, kriptolama)
  • Erişim kontrolü (access control)
  • Tanılama (identification) ve doğrulama (authentication) 
  • Yetkilendirme (authorization)
  • Fiziksel erişim kontrolü
Şifreleme kavramı Kriptoloji bölümünde anlatılmıştı. Şifreleme ile amaçlanan, gönderici ve alıcı arasındaki iletişim kanalında verilerin saldırganlar tarafından gözlenerek elde edilememesidir. 
Gizliliği sağlayan bir başka yöntemse erişim kontrolüdür. Erişim kontrolü mekanizmaları kimlik, kullanıcı adı ve parola, donanımsal doğrulama gibi yöntemleri içerir. Örneğin bilgisayarları ağa bağlanmak için MAC adresleri kullanılan bir sistem, donanımsal tabanlı doğrulama kullanmaktadır. Tanılama ve doğrulama için kullanıcılar sahip olduğu bir giriş kartı, bildiği bir parola ya da kişiye özel biyometrik bilgileri kullanılabilir.
Yetkilendirme bir kişi, sistem ya da uygulamanın sistem kaynaklarını kullanıp kullanamayacağına karar vermeyi ifade eder. 
Fiziksel erişim kontrolü ise bilgiye fiziksel erişimi denetleyen mekanizmaları ifade etmektedir. Örneğin sistem odalarının kapı ve kabin kilitleri, hatta Faraday kafesli, elektromanyetik sinyallere karşı izole ortamlar fiziksel ortamlarda gizliliği sağlayan yöntemler olarak düşünülebilir. Buraya kadar olan kısımda gizliliği sağlayan yöntemlerden söz ettik. 
Bütünlük, bilginin gerçek olmasını ifade eder. Bütünlüğü sağlayan yöntemlerden bazıları aşağıda listelenmiştir.
  • Yedekleme (backup)
  • Sağlama (checksum)
  • Veri doğrulama kodları (parity)
Yedekleme, kullanıcı verilerinin kopyalarının farklı fiziksel ortamlarda ya da bulutta saklanmasını ifade eder. Kullanıcılar sistemlerinde aktif olan dosyaları yedekleri ile karşılaştırarak orijinal olup olmadıkları, değiştirilip değiştirilmedikleri hakkında bilgi edinebilirler, dolayısıyla dosyaların bütünlüğünü de kontrol etmiş olurlar. 
Sağlama ise uygulama kurulum dosyalarının bütünlükleri açısından doğrulanmasından ağ üzerinde giden paketlerin bütünlüğünün doğrulanmasına kadar farklı amaçlarla kullanılan bir yöntemdir. Bilgisayarına kurduğu uygulamaların zararlı yazılım içerip içermediğinden emin olmak isteyen bir kullanıcı, her zaman uygulamalarını asıl kaynaklardan indirerek kurar ve sağlama değerlerini karşılaştırarak dosyanın orijinal dosya olup olmadığından emin olur. Yine benzer amaçlarla veri doğrulama kodları kullanılmaktadır.
Özetle bilginin bütünlüğü, bilginin gerçekliğini, orijinalliğini ifade eder. 
Erişilebilirliği sağlayan yöntemler temel olarak verinin olası fiziksel felaketlere rağmen erişilebilir olmasının sağlanmasını içerir. Bu da genellikle yedekleme ile sağlanır. Örneğin kritik verilere erişilebilirliğin sürekliliği olası bir afet durumunda devreye girecek olan sistemlerin önceden tasarlanması ve hizmete alınmasıyla sağlanabilir.

5. Güvenlik, İşlevsellik, Kullanılabilirlik

Gizlilik, bütünlük ve erişilebilirlik yanında bir bilgi sisteminin siber güvenliğini etkileyen başka faktörler de bulunmaktadır. Özellikle güvenlik, işlevsellik (fonksiyonellik), kullanılabilirlik arasında rekabetçi bir ilişki bulunmaktadır. 
İşlevsellik terimi bir sistemin sunduğu teknik özellikleri ifade eder. Kullanılabilirlik ise bir sistemin kullanıcılar tarafından kolay kullanımına olanak sağlayan özelliklerdir. 
Sistemin sunduğu teknik özelliklere yönelik erişim kontrolü ve kısıtlamalar temel olarak gizliliği sağlayan prensipler çerçevesinde tanımlanır. Tüm sistemlerde aynı olmamakla birlikte genellikle bu üçlü arasındaki ilişki birbirinin zıttı yöndedir. Örneğin, işlevsellik açısından zengin bir sistemin güvenliği ve kullanılabilirliğini de zengin tasarlamak güçtür. Esasen bu durum sistem karmaşıklığı ile ilgili temel güvenlik prensiplerinden birisidir. Bu prensiplere sonraki bölümlerde değineceğiz.

6. Riskleri Düşünmek

Yukarıdaki bölümlerde siber güvenliğin temel amacının bilgi varlıklarına yönelik riskleri azaltmak olduğunu söylemiştik. Riski saldırı, zafiyet, tehdit ve önlem ilişkisi çerçevesinde düşünebiliriz. Bu doğrultuda, aşağıdaki gösterimde sunulduğu üzere zafiyetlerin tehditleri mümkün kılarken önlemlerin tehditlerin etkisini azalttığını ve zafiyetleri ortadan kaldırdığını söyleyebiliriz.
Teknik olarak risk kavramı bir olayın gerçekleşme ihtimali ve olayın etkisinin çarpımı olarak düşünülebilir. Siber güvenlik açısından riskleri değerlendirirken aşağıda gösterilen tabloyu kullanabiliriz.
Bu tabloda birinci sütun siber güvenlik olayının gerçekleşme ihtimalini, ikinci sütun ise bu olay gerçekleştiği durumda ortaya çıkabilecek etkiyi ifade etmektedir. Şimdi siber güvenlik açısından en zayıf bölgenin hangisi olduğunu düşünelim. Bunu da bir örnek üzerinden yapalım. Mesela sistem üzerinde tanımlı kullanıcı hesaplarını ve bu hesapların parolalarının korunması konusunu ele alalım. Saldırı ihtimalinin en yüksek olduğu hesaplar yetkisi en yüksek olan hesaplar olacaktır. Bir saldırı durumunda yetkisi yüksek bir hesabın ele geçirilmesi yetkinin de yüksek olmasına neden olur. Bu durumda bu hesabın diğer hesaplara göre korunma ihtimali daha yüksek olduğundan saldırganın tablodaki en üst satırı hedeflemesi saldırgan açısından doğru olmayabilir.
Benzer bir durum tablonun en altında gösterilen bilgi varlıkları için de geçerlidir. Kullanıcı hesaplarından devam edersek bir nedenle saldırı ihtimali hiç olası olmayan bir kullanıcı hesabı aynı zamanda ele geçirildiğinde oluşturacağı etki de düşük ise yine saldırıların hedefinde bulunmayan bir bilgi varlığı olacaktır. 
Bu durumda siber güvenlik açısından saldırganın tehdidi altında olan, öncelikli olarak hedefleyebileceği alan orta bölge olabilir. Çünkü bu bölgedeki bilgi varlıklarının korunma derecesi göreceli olarak düşük olabilir.
Bu bölümde risk tablolarının siber güvenlik açısından nasıl değerlendirilebileceğine değindik. Aşağıda temel güvenlik ilkelerinden söz edilecektir.

7. Temel Güvenlik İlkeleri

Bir bilgi varlığının ya da bu bilgi varlığını taşıyan sistemin siber güvenlik açısından korunabilmesi sistem yöneticisi ve kullanıcılarının bazı temel güvenlik ilkelerini benimsemeleri ile mümkün olmaktadır. 
Bu ilkelerin bazılarının felsefi kökenleri vardır. Örneğin, tasarımda ve güvenlik önlemlerinin uygulanmasında basitliği benimseyen "ekonomi ilkesi"nin, teknik olarak tasarımı daha basit güvenlik sistemlerinin neden daha etkili olduğunu söylenemese de büyük ölçüde doğrulanabilir bir ilke olduğu düşünülebilir. 
Diğer ilkeler büyük ölçüde teknik gerekçelere dayandırılabilmektedir. Bunlardan birisi "bozulma-korumalı varsayılan" (fail-safe default) ilkesidir. Buna göre örneğin işletim sistemine eklenen yeni bir kullanıcı en düşük haklara sahip olarak eklenmeli, kullanıcının uygulamaları kullanması için yetkilendirme sonraki aşamalarda ve ihtiyaç olduğunda yapılmalıdır. Diğer bir değişle kullanıcının bilgiye erişimi, kendisinden beklenen işi yerine getirmek için zorunlu bir adım olmalıdır.
Günümüzde işletim sistemlerinin siber güvenlikten çok işlevselliği ve kullanılabilirliği önde tuttuğunu göz önüne alınırsa bir işletim sisteminin kurulumdan sonra siber güvenlik açısından sıkılaştırılması ya da bazı temel ilkeler doğrultusunda işletilmesinin gerekliliği de ortaya çıkar. Çünkü işletim sisteminde tanımlanan kullanıcılar genellikle ihtiyaç duyulandan daha fazla yetkiye sahip olurlar ve bu da siber güvenlik açısından zafiyet oluşturabilir.
İşletim sistemlerinin ya da ortak kullanılan bilgisayar ağlarının siber güvenlik açısından korunaklı hale getirilmesi için benimsenmesi gereken temel ilkelerden birisi "asgari müşterek mekanizması" olarak adlandırılabilir. Bu ilkeye göre çok kullanıcılı sistemlerde paylaşılan kaynak sayısı en aza indirilmelidir. Çok sayıda kullanıcının erişim sağladığı dosyalar az sayıda kullanıcının erişim sağladığı dosyalara göre daha büyük risk altındadır.
Siber güvenliğin en temel ilkelerinden birisi "kayıt alma" ilkesidir. Güvenlik ihlallerinin detaylıca kaydedilmesi zaman zaman tüm ihlalleri engelleyebilecek düzeyde mekanizmalarının geliştirilmesinden daha pratik ve verimli olabilir. Sistemdeki tüm faaliyetlerin kayıt altına alındığını fark eden bir saldırgan kendi eylemlerinde buna göre belirleyecek, belki saldırıdan vazgeçecektir. Bu durumu günlük yaşamımızda kamuya açık alanlarda bulunan MOBESE kameralarının caydırıcılık yaratma etkisine benzetebiliriz. Erişim detaylarının kaydı, örneğin tüm dosyaları erişimin, gönderilen ve alınan tüm e-postaların, tüm web gezintilerinin kayıt altına alınması sistemin siber güvenliği açısından gereklidir. Elbette bu gerekliliği sağlarken kullanıcıların mahremiyeti ve kişisel verilerin korunması ile ilgili yasa ve yönetmelikler göz önüne alınmak zorundadır.
Siber güvenlik uzmanları mutlak güvenliğin mümkün olmadığını, bir bilişim sistemini siber güvenlik açısından savunmanın yüksek maliyetli olabileceğini, siber güvenlik saldırılarından gerçek zamanlı korunmanın güç olduğunu, cezalandırma ve caydırma mekanizmalarının özellikle uluslararası saldırılarda zayıf olduğunu bilir. Saldırılara karşı tek bir yöntemin yeterli olmaması nedeniyle uzmanlar aşağıda sunulan önlemlerden eşzamanlı olarak faydalanırlar.
  • Saldırı zafiyetlerin giderilmesi yoluyla engellenebilir
  • Saldırının gerçekleştirilmesi güçleştirilebilir 
  • Saldırgana daha kolay ve değersiz hedefler sunularak saldırgan yanıltılabilir
  • Saldırının etkisi azaltılabilir 
  • Saldırının detayları tespit edilebilir (saldırıdan öğrenme)
  • Saldırı sonrası hızlı dönüş için hazırlık yapılabilir (yedekler)
Teknik olarak sistem yöneticileri ağı bölgeleri ayırma (network zoning), şifreleme, yazılımsal ve donanımsal kontroller, politika, kural ve yönergeler ile fiziksel kontrolleri çok katmanlı bir yapıda kullanırlar. Sistemlerin siber güvenliğinin sağlanması için de düzenli olarak testler gerçekleştirirler. Bu testler sızma testleri olarak bilinir.

8. Sızma Testi Kavramı

Bir bilişim servisini siber güvenlik saldırılarına karşı korumak için en temel yöntemlerden birisi uzmanlar tarafından düzenli aralıklarla gerçekleştirilen sızma testleridir. 
Sızma testi zafiyet bulma amaçlı saldırı simülasyonudur. Temel hedefi zafiyetlerin olası istismar alanlarını belirlemek ve istismarların yaratabileceği sonuçlarla ilgili rapor hazırlamaktır. Bu bölümde sızma testi kavramı ile ilgili temel bilgiler sunulacaktır.

9. Sızma Testi Aşamaları

Sızma testinde temel amaç sistemi güvenlik açıklarına karşı test etmektir. Sızma testinin ilk aşaması çoğunlukla parolalarla ilgilidir. Bu aşamada parola ile korunan sistemler belirlenir, sistemler belirlendikten sonra Kriptoloji bölümünde söz edildiği üzere sözlük saldırıları gerçekleştirilir, ağ trafiği dinlenerek güvensiz biçimde (düz metin olarak) gönderilen parolalar elde edilmeye çalışılır, kaba kuvvet saldırısı gibi alternatif parola saldırı yöntemleri denenir, zararlı yazılımlar kurulmaya çalışılır, dağıtık ağ saldırıları gerçekleştirilir ve sosyal mühendislik amaçlı incelemeler yapılır. 
Sızma testinin ikinci aşamasında parolanın ya da parolaların elde edildiği varsayılarak, yetkileri ele geçirilmiş kullanıcıların yapabilirliklerini anlamak amacıyla sistem servisleri çalıştırılır ve yetki yükseltme yazılımları kullanılır. Sonraki aşamada uygulama çalıştırma yöntemler kullanılarak sistemde bulunan antivirüs, güvenlik duvarı gibi koruyucu yazılımlar devre dışı bırakılmaya çalışılır. Sistem fiziksel güvenlik açısından test edilir. Monitörleme ve uzaktan erişim araçları kurulmaya çalışılır.
Sonraki aşamada zararlı yazılım dosyalarının kullanıcılardan gizlenmesi için yöntemler kullanılır. Sızma testinin bir sonraki aşamasında testi gerçekleştiren uzmanlar sistemde gerçekleştirilen faaliyetlerin izlerini silmek amacıyla web aktivitelerini, dosya kayıtlarını, logları siler ya da günceller, sistemin açık portlarını ve uzak bağlantılarını kapatır. Bu aşamalar sızma testinin metodolojisine bağlı olarak farklılıklar gösterebilir. 
Sızma testinin sonuncu aşamasında uzmanlar bulguları rapor eder. Tüm bu aşamaların amacı sisteme zarar vermek değil sistemi güvenlik açıkları için test etmektir.

10. Ekip

Sızma testleri siber güvenlik uzmanları tarafından gerçekleştirilmelidir. Büyük sistemlerde sızma testleri mavi takım ve kırmızı takım adı verilen iki grupla gerçekleştirilebilir. 
Mavi gruptaki siber güvenlik uzmanları savunma ekibini oluşturur. Bu ekibin amacı sistemdeki zafiyetleri bulmak, önlem almak, saldırıları tespit etmek ve engellemektir. Kırmızı ekip ise mavi takımdakiler gibi ağ ve sistem zafiyetlerini bulur, ancak bunun ötesinde sisteme erişim sağlamak için çalışmalar gerçekleştirir.

11. Yöntemler ve Yöntem Çerçeveleri

Sızma testleri körlemesine, sınırlı bilgiyle, ya da tam bilgi ile gerçekleştirilebilir. 
Körlemesine gerçekleştirilen sızma testlerinde uzmanlar test edilecek sistemle ilgili hiçbir bilgiye sahip olmazlar. Bu yönteme kara kutu (black-box) yöntemi de denir. Bu yöntem bir tür gerçek dünya simülasyonudur. Sızma testi uzmanları sadece kurumun isim bilgisine sahiptirler. Bu durumda uzmanlar kurum hakkındaki bilgileri toplamak için kurumun çağrı merkezi ya da personel telefonlarını arayarak bilgi toplamaya çalışmakla işe başlar. Kara kutu yöntemi zaman alıcı ve pahalı bir yöntemdir.
Sızma testi ekiplerinin test öncesinde sistem hakkındaki tüm altyapı bilgisine sahip olduğu yöntem beyaz kutu (white-box) yöntemi olarak bilinir. Bu yöntemde sızma ekibine organizasyonel bilgiler, donanım ve yazılım listeleri, ağ yapısıyla ilgili bilgiler, mevcut güvenlik uygulamaları, kurumun güvenlik politikaları ile ilgili bilgiler verilebilir. 
Bilgilerin kısmen temin edildiği durumda da gri kutu (gray-box) yönteminden söz edebiliriz. 
Tüm bu testler kurum personelinin bilgisi olmadan gerçekleştirilebilir. Sızma testi yöntemleri bu üç tür ile sınırlı değildir. Kurumun beklenti ve ihtiyaçlarına göre ara senaryolar kurgulanabilir.
Sızma testi öncesinde sızma ekibinin planlamayı dikkatle yapması, yöntemleri detaylıca tasarlanması yanında sızma testi için resmi izinlerin alınması, bir test isterleri kontrol listesi oluşturması, testin kapsamının belirlemesi ve bir sızma testi sözleşmesi imzalanması gerekir. 
Bu hazırlıklardan sonra ekip yukarıda anlatıldığı üzere hedefle ilgili bilgi toplamaya başlayacak, kurumun fiziksel konumundan telefon ve faks hatları, diğer iletişim bilgileri, kurumun sosyal medyada verdiği bilgiler ve iş ilanları gibi bilgileri toplamaya çalışacaktır.
Sonraki adım aktif bir keşif sürecini içerecek, sızma ekibi dışarıdan yaptıkları testlerle kurumun ağ alt yapısı hakkında bilgileri elde etmeye çalışacaktır. Kurum tarafından sunulan web servislerinin ve bu servislerin diğer kurumlara verilen servislerle ilişkisinin incelenmesi sonucunda elde edilen bilgiler test amaçlı saldırı hazırlıklarının içeriğini oluşturacaktır. Test amaçlı saldırı aşaması hedefe erişim sağlama, yetki yükseltme, hedefi ele geçirme ve izleri silme gibi aşamaları kapsayacaktır. Yukarıda anlatıldığı gibi son aşamada sızma ekibinin önemli görevlerinden birisi bulgularının raporlanmasıdır. 
Aşağıdaki kaynaklar alternatif sızma testi yöntem çerçevelerini sunmaktadır.
  • Açık kaynak sızma testi çerçevelerine örnekler.
  • OWASP (Open Web Application Security Project)
  • OSSTMM (Open Source Security Testing Methodology Manual by Pete Herzog)
  • ISSAF (Information Systems Security Assessment Framework)
  • NIST (The National Institue of Standards and Technology)
Şirketler tarafından önerilen sızma testi çerçevelerine örnekler.
  • IBM penetration testing
  • McAfee Foundstone

12. Siber Güvenlik ilkeleri Videolu Anlatımlar


Bölüm-1

Bölüm-2

Kaynak. IBM


Yorumlar

Destekleyen Kuruluşlar

Haber | Haber | Haber | Haber | Haber | SEO |
Whatsapp üzerinden iletişim kur
Mesajınızı gönderinKapat